EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 62021CJ0268
Judgment of the Court (Third Chamber) of 2 March 2023.#Norra Stockholm Bygg AB v Per Nycander AB.#Request for a preliminary ruling from the Högsta domstolen.#Reference for a preliminary ruling – Protection of personal data – Regulation (EU) 2016/679 – Article 6(3) and (4) – Lawfulness of processing – Production of a document containing personal data in civil court proceedings – Article 23(1)(f) and (j) – Protection of judicial independence and judicial proceedings – Enforcement of civil law claims – Requirements to be complied with – Having regard to the interests of the data subjects – Balancing of the opposing interests involved – Article 5 – Minimisation of personal data – Charter of Fundamental Rights of the European Union – Article 7 – Right to respect for private life – Article 8 – Right to protection of personal data – Article 47 – Right to effective judicial protection – Principle of proportionality.#Case C-268/21.
Sentencia del Tribunal de Justicia (Sala Tercera) de 2 de marzo de 2023.
Norra Stockholm Bygg AB contra Per Nycander AB.
Petición de decisión prejudicial planteada por el Högsta domstolen.
Procedimiento prejudicial — Protección de datos personales — Reglamento (UE) 2016/679 — Artículo 6, apartados 3 y 4 — Licitud del tratamiento — Presentación de un documento que contiene datos personales en el marco de un procedimiento judicial civil — Artículo 23, apartado 1, letras f) y j) — Protección de la independencia judicial y de los procedimientos judiciales — Ejecución de demandas civiles — Requisitos que han de cumplirse — Toma en consideración del interés de los afectados — Ponderación de los intereses en conflicto — Artículo 5 — Minimización de datos personales — Carta de los Derechos Fundamentales de la Unión Europea — Artículo 7 — Derecho al respeto de la vida privada — Artículo 8 — Derecho a la protección de datos de carácter personal — Artículo 47 — Derecho a la tutela judicial efectiva — Principio de proporcionalidad.
Asunto C-268/21.
Sentencia del Tribunal de Justicia (Sala Tercera) de 2 de marzo de 2023.
Norra Stockholm Bygg AB contra Per Nycander AB.
Petición de decisión prejudicial planteada por el Högsta domstolen.
Procedimiento prejudicial — Protección de datos personales — Reglamento (UE) 2016/679 — Artículo 6, apartados 3 y 4 — Licitud del tratamiento — Presentación de un documento que contiene datos personales en el marco de un procedimiento judicial civil — Artículo 23, apartado 1, letras f) y j) — Protección de la independencia judicial y de los procedimientos judiciales — Ejecución de demandas civiles — Requisitos que han de cumplirse — Toma en consideración del interés de los afectados — Ponderación de los intereses en conflicto — Artículo 5 — Minimización de datos personales — Carta de los Derechos Fundamentales de la Unión Europea — Artículo 7 — Derecho al respeto de la vida privada — Artículo 8 — Derecho a la protección de datos de carácter personal — Artículo 47 — Derecho a la tutela judicial efectiva — Principio de proporcionalidad.
Asunto C-268/21.
Court reports – general
ECLI identifier: ECLI:EU:C:2023:145
SENTENCIA DEL TRIBUNAL DE JUSTICIA (Sala Tercera)
de 2 de marzo de 2023 ( *1 )
«Procedimiento prejudicial — Protección de datos personales — Reglamento (UE) 2016/679 — Artículo 6, apartados 3 y 4 — Licitud del tratamiento — Presentación de un documento que contiene datos personales en el marco de un procedimiento judicial civil — Artículo 23, apartado 1, letras f) y j) — Protección de la independencia judicial y de los procedimientos judiciales — Ejecución de demandas civiles — Requisitos que han de cumplirse — Toma en consideración del interés de los afectados — Ponderación de los intereses en conflicto — Artículo 5 — Minimización de datos personales — Carta de los Derechos Fundamentales de la Unión Europea — Artículo 7 — Derecho al respeto de la vida privada — Artículo 8 — Derecho a la protección de datos de carácter personal — Artículo 47 — Derecho a la tutela judicial efectiva — Principio de proporcionalidad»
En el asunto C‑268/21,
que tiene por objeto una petición de decisión prejudicial planteada, con arreglo al artículo 267 TFUE, por el Högsta domstolen (Tribunal Supremo, Suecia), mediante resolución de 15 de abril de 2021, recibida en el Tribunal de Justicia el 23 de abril de 2021, en el procedimiento entre
Norra Stockholm Bygg AB
y
Per Nycander AB,
con intervención de:
Entral AB,
EL TRIBUNAL DE JUSTICIA (Sala Tercera),
integrado por la Sra. K. Jürimäe, Presidenta de Sala, y la Sra. M. L. Arastey Sahún y los Sres. N. Piçarra, N. Jääskinen (Ponente) y M. Gavalec, Jueces;
Abogada General: Sra. T. Ćapeta;
Secretaria: Sra. C. Strömholm, administradora;
habiendo considerado los escritos obrantes en autos y celebrada la vista el 27 de junio de 2022;
consideradas las observaciones presentadas:
|
– |
en nombre de Norra Stockholm Bygg AB, por la Sra. H. Täng Nilsson y el Sr. E. Wassén, advokater; |
|
– |
en nombre de Per Nycander AB, por el Sr. P. Degerfeldt y la Sra. V. Hermansson, advokater; |
|
– |
en nombre del Gobierno sueco, por las Sras. C. Meyer-Seitz y H. Shev, y por el Sr. O. Simonsson, en calidad de agentes; |
|
– |
en nombre del Gobierno checo, por los Sres. O. Serdula, M. Smolek y J. Vláčil, en calidad de agentes; |
|
– |
en nombre del Gobierno polaco, por el Sr. B. Majczyna y la Sra. J. Sawicka, en calidad de agentes; |
|
– |
en nombre de la Comisión Europea, por los Sres. A. Bouchagiar, M. Gustafsson y H. Kranenborg, en calidad de agentes; |
oídas las conclusiones de la Abogada General, presentadas en audiencia pública el 6 de octubre de 2022;
dicta la siguiente
Sentencia
|
1 |
La petición de decisión prejudicial tiene por objeto la interpretación del artículo 6, apartados 3 y 4, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO 2016, L 119, p. 1; en lo sucesivo, «RGPD»). |
|
2 |
Esta petición se ha presentado en el contexto de un litigio entre Norra Stockholm Bygg AB (en lo sucesivo, «Fastec») y Per Nycander AB (en lo sucesivo, «Nycander») en relación con una solicitud de comunicación del registro electrónico del personal de Fastec que realizó trabajos para Nycander, con el fin de determinar el importe de las obras que esta debe abonar. |
Marco jurídico
Derecho de la Unión
|
3 |
Los considerandos 1, 2, 4, 20, 26, 45 y 50 del RGPD están redactados como sigue:
[…]
[…]
[…]
[…]
[…]
|
|
4 |
El artículo 2 de este Reglamento, titulado «Ámbito de aplicación material», dispone: «1. El presente Reglamento se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero. 2. El presente Reglamento no se aplica al tratamiento de datos personales:
3. El Reglamento (CE) n.o 45/2001 [del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos (DO 2001, L 8, p. 1),] es de aplicación al tratamiento de datos de carácter personal por parte de las instituciones, órganos y organismos de la Unión. El Reglamento [n.o 45/2001] y otros actos jurídicos de la Unión aplicables a dicho tratamiento de datos de carácter personal se adaptarán a los principios y normas del presente Reglamento de conformidad con su artículo 98.» |
|
5 |
A tenor del artículo 4 del citado Reglamento: «A efectos del presente Reglamento se entenderá por: […]
[…]
[…]». |
|
6 |
El artículo 5 del mismo Reglamento, titulado «Principios relativos al tratamiento», dispone en su apartado 1: «Los datos personales serán:
[…]». |
|
7 |
El artículo 6 del RGPD, titulado «Licitud del tratamiento», dispone: «1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:
[…]
[…]
[…] 3. La base del tratamiento indicado en el apartado 1, letras c) y e), deberá ser establecida por:
La finalidad del tratamiento deberá quedar determinada en dicha base jurídica o, en lo relativo al tratamiento a que se refiere el apartado 1, letra e), será necesaria para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento. […] El Derecho de la Unión o de los Estados miembros cumplirá un objetivo de interés público y será proporcional al fin legítimo perseguido. 4. Cuando el tratamiento para otro fin distinto de aquel para el que se recogieron los datos personales no esté basado en el consentimiento del interesado o en el Derecho de la Unión o de los Estados miembros que constituya una medida necesaria y proporcional en una sociedad democrática para salvaguardar los objetivos indicados en el artículo 23, apartado 1, el responsable del tratamiento, con objeto de determinar si el tratamiento con otro fin es compatible con el fin para el cual se recogieron inicialmente los datos personales, tendrá en cuenta, entre otras cosas:
[…]». |
|
8 |
El artículo 23 de este Reglamento, con el título «Limitaciones», dispone: «1. El Derecho de la Unión o de los Estados miembros que se aplique al responsable o el encargado del tratamiento podrá limitar, a través de medidas legislativas, el alcance de las obligaciones y de los derechos establecidos en los artículos 12 a 22 y el artículo 34, así como en el artículo 5, en la medida en que sus disposiciones se correspondan con los derechos y obligaciones contemplados en los artículos 12 a 22, cuando tal limitación respete en lo esencial los derechos y libertades fundamentales y sea una medida necesaria y proporcionada en una sociedad democrática para salvaguardar: […]
[…]
[…]» |
Derecho sueco
RB
|
9 |
La prueba documental se rige por lo dispuesto en el capítulo 38 del rättegångsbalken (Código de Procedimiento Judicial; en lo sucesivo, «RB»). |
|
10 |
Con arreglo al párrafo primero del artículo 2 del capítulo 38 del RB, toda persona que tenga en su poder un documento escrito al que quepa atribuir valor probatorio deberá presentar dicho documento. |
|
11 |
Las excepciones a la citada obligación de presentación figuran, en particular, en el párrafo segundo de ese artículo. El ejercicio de determinadas funciones dispensa de dicha obligación, si puede presumirse que su poseedor no puede ser oído como testigo sobre su contenido. Esta excepción se aplica a los abogados, médicos, psicólogos, sacerdotes y otras personas a las que se haya confiado información confidencialmente en el marco del ejercicio de sus funciones o en circunstancias similares. Así pues, el alcance de la referida obligación corresponde a la obligación de declarar ante los tribunales. |
|
12 |
Cuando una persona tenga la obligación de presentar un documento como prueba, el órgano jurisdiccional podrá instarle, de conformidad con el artículo 4 del capítulo 38 del RB, a presentar ese documento. |
Ley de Procedimiento General Tributario
|
13 |
En virtud de los artículos 11 a 11 c del capítulo 39 de la skatteförfarandelagen (2011:1244) [Ley (2011:1244) de Procedimiento General Tributario], quien lleve a cabo una actividad de construcción estará obligado, en determinados casos, a mantener un registro electrónico de personal. En dicho registro deberán figurar los datos necesarios para identificar a las personas que participan en dicha actividad económica. Esta obligación incumbe al promotor, que puede, no obstante, delegarla en un operador independiente. Con arreglo al artículo 12 del capítulo 39 de la referida Ley, el registro de personal debe mantenerse a disposición de la Administración tributaria sueca. |
|
14 |
Los datos que deben hacerse constar en el registro de personal se precisan en el artículo 5 del capítulo 9 del skatteförfarandeförordningen (2011:1261) [Reglamento (2011:1261) de Procedimiento General Tributario]. Se trata, en particular, de la identidad y del número nacional de identificación de toda persona que participe en la actividad económica y la hora de comienzo y de finalización del servicio. |
Litigio principal y cuestiones prejudiciales
|
15 |
Fastec construyó para Nycander un edificio de oficinas. Las personas que trabajaban en la obra de construcción de que se trata dejaban constancia de su presencia en un registro de personal electrónico. Este registro de personal era facilitado por la sociedad Entral AB, que actuaba por cuenta de Fastec. |
|
16 |
Fastec presentó ante el tingsrätt (Tribunal de Primera Instancia, Suecia) una demanda relativa al pago de las obras llevadas a cabo. En el marco de esta demanda, Fastec reclamó a Nycander el pago de una cantidad que, según Fastec, corresponde al saldo restante adeudado por Nycander. Esta última sociedad se opuso a la demanda de Fastec alegando, en particular, que el número de horas trabajadas por el personal de Fastec era inferior al indicado en la referida demanda. |
|
17 |
En el procedimiento ante el tingsrätt, Nycander solicitó a dicho órgano jurisdiccional que instara a Entral a presentar el registro de personal de Fastec correspondiente al período comprendido entre el 1 de agosto de 2016 y el 30 de noviembre de 2017, con carácter principal, sin ocultar los números de identificación personal de los trabajadores de que se trata y, con carácter subsidiario, ocultando tales números. En apoyo de esta solicitud, Nycander alegó que Entral estaba en posesión del mencionado registro de personal y que este podía constituir una prueba importante para pronunciarse sobre la demanda de Fastec en la medida en que los datos que constan en el mencionado registro de personal permitían probar las horas trabajadas por el personal de Fastec. |
|
18 |
Fastec se opuso a esta solicitud alegando, con carácter principal, que era contraria al artículo 5, apartado 1, letra b), del RGPD. Según ella, el registro de personal de Fastec contiene datos personales recogidos para el control de la actividad de esta sociedad por la Administración tributaria sueca, y no es conforme con este objetivo divulgar esos datos ante el juez. |
|
19 |
El tingsrätt (Tribunal de Primera Instancia) requirió a Entral para que aportara, sin ocultar los números de identificación personal de los trabajadores en cuestión, el registro del personal de Fastec correspondiente al personal que había trabajado durante el período considerado en la obra de que se trata en el litigio principal. El Svea hovrätt (Tribunal de Apelación con sede en Estocolmo, Suecia) confirmó la resolución del tingsrätt (Tribunal de Primera Instancia). |
|
20 |
Contra la resolución del Svea hovrätt (Tribunal de Apelación con sede en Estocolmo) Fastec interpuso un recurso de casación ante el órgano jurisdiccional remitente, el Högsta domstolen (Tribunal Supremo, Suecia), solicitando que se desestimara la solicitud de Nycander mencionada en el apartado 17 de la presente sentencia. |
|
21 |
El órgano jurisdiccional remitente se pregunta si procede aplicar las disposiciones del RGPD en el marco del litigio principal y, en su caso, cómo debería hacerse. |
|
22 |
Por lo que respecta a la obligación de presentar documentos, este último órgano jurisdiccional observa que de su propia jurisprudencia relativa a la interpretación de las disposiciones pertinentes del RB se desprende que procede ponderar la pertinencia de las pruebas de que se trata y el interés de la parte contraria en no divulgar esas pruebas. Precisa que, en el marco de esta ponderación, no se tiene en cuenta, en principio, la naturaleza privada de la información contenida en el documento de que se trate ni el interés de otras personas en tener acceso al contenido de ese documento, al margen de lo que pueda resultar de las excepciones específicamente previstas en la normativa. |
|
23 |
Dicho órgano jurisdiccional puntualiza que la obligación prevista por el RB de presentar un documento tiene por objeto, en particular, permitir a cualquier persona que necesite un documento como medio de prueba tener acceso a él. Considera que se trata de garantizar, en definitiva, que el justiciable pueda ejercer sus derechos cuando tenga un «interés probatorio legítimo». |
|
24 |
En estas circunstancias, el Högsta domstolen (Tribunal Supremo) decidió suspender el procedimiento y plantear al Tribunal de Justicia las cuestiones prejudiciales siguientes:
|
Sobre las cuestiones prejudiciales
Primera cuestión prejudicial
|
25 |
Mediante su primera cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 6, apartados 3 y 4, del RGPD debe interpretarse en el sentido de que esta disposición se aplica, en el marco de un procedimiento judicial civil, a la presentación como prueba de un registro de personal que contenga datos personales de terceros recogidos principalmente con fines de inspección fiscal. |
|
26 |
Para responder a esta cuestión prejudicial, procede señalar, en primer lugar, que el artículo 2, apartado 1, del RGPD establece que dicho Reglamento se aplica a cualquier «tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero», sin establecer distinciones en función de la identidad del autor del tratamiento de que se trate. De ello se deduce que, sin perjuicio de los supuestos mencionados en su artículo 2, apartados 2 y 3, el RGPD se aplica a las operaciones de tratamiento efectuadas tanto por los particulares como por las autoridades públicas, incluidas, como indica su considerando 20, las autoridades judiciales, como los tribunales (sentencia de 24 de marzo de 2022, Autoriteit Persoonsgegevens, C‑245/20, EU:C:2022:216, apartado 25). |
|
27 |
En segundo lugar, según el artículo 4, punto 2, de ese Reglamento, está comprendida en la definición de «tratamiento» de datos personales, entre otras, cualquier operación realizada sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso. |
|
28 |
De ello se deduce que son operaciones de tratamiento de datos personales que entran en el ámbito de aplicación material del RGPD no solo la creación y la llevanza del registro electrónico de personal (véase, por analogía, la sentencia de 30 de mayo de 2013, Worten, C‑342/12, EU:C:2013:355, apartado 19), sino también la presentación como prueba de un documento, digital o físico, que contiene datos personales, ordenado por un órgano jurisdiccional en el marco de un procedimiento judicial [véase, en este sentido, la sentencia de 8 de diciembre de 2022, Inspektor v Inspektorata kam Visshia sadeben savet (Fines del tratamiento de datos personales — Instrucción penal), C‑180/21, EU:C:2022:967, apartado 72]. |
|
29 |
En tercer lugar, es preciso subrayar que todo tratamiento de datos personales, incluido un tratamiento efectuado por las autoridades públicas, como los órganos jurisdiccionales, debe cumplir los requisitos de licitud establecidos en el artículo 6 del RGPD. |
|
30 |
A este respecto, procede señalar, en primer término, que, según el artículo 6, apartado 1, letra e), del RGPD, el tratamiento de datos personales será lícito si es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento. |
|
31 |
De conformidad con el artículo 6, apartado 3, del RGPD, en relación con su considerando 45, la base del tratamiento indicado en el artículo 6, apartado 1, letra e), de dicho Reglamento deberá ser establecida por el Derecho de la Unión o el Derecho del Estado miembro que se aplique al responsable del tratamiento. Además, el Derecho de la Unión o de los Estados miembros cumplirá un objetivo de interés público y será proporcional al fin legítimo perseguido. |
|
32 |
Por lo tanto, lo dispuesto en el artículo 6, apartado 1, letra e), del RGPD, en relación con su artículo 6, apartado 3, exige una base jurídica, en particular nacional, que sirva de fundamento al tratamiento de datos personales por los responsables de ese tratamiento que actúen en el marco de la ejecución de una misión de interés público o de una misión inherente al ejercicio de la autoridad pública, como las realizadas por los órganos jurisdiccionales en el marco de sus funciones jurisdiccionales. |
|
33 |
En segundo término, cuando el tratamiento de datos personales se efectúa con un fin distinto de aquel para el que fueron recogidos esos datos, se desprende del artículo 6, apartado 4, del RGPD, interpretado a la luz del considerando 50 de dicho Reglamento, que tal tratamiento se permite a condición de que se base, en particular, en el Derecho de un Estado miembro y constituya una medida necesaria y proporcionada en una sociedad democrática para garantizar alguno de los objetivos mencionados en el artículo 23, apartado 1, del RGPD. Como indica ese considerando, con el fin de salvaguardar estos objetivos importantes de interés público general, el responsable está facultado para el tratamiento ulterior de los datos personales, con independencia de la compatibilidad del referido tratamiento con los fines para los que se recogieron inicialmente los datos personales. |
|
34 |
En el caso de autos, las disposiciones pertinentes del capítulo 38 del RB, que establecen la obligación de presentar un documento como prueba y la posibilidad de que los órganos jurisdiccionales nacionales ordenen la presentación de dicho documento, constituyen la base jurídica que sirve de fundamento al tratamiento de datos personales. Si bien estas disposiciones constituyen, en principio, una base jurídica suficiente para autorizar tal tratamiento, de la resolución de remisión se desprende que esta base jurídica es diferente de la constituida por la Ley de Procedimiento General Tributario, sobre cuya base se elaboró, con fines de inspección fiscal, el registro de personal controvertido en el litigio principal. Además, la obligación de presentación prevista por estas disposiciones del RB tiene por objeto, según el órgano jurisdiccional remitente, permitir a cualquier persona que necesite un documento como medio de prueba tener acceso a él. En su opinión, se trata de garantizar que el justiciable pueda ejercer sus derechos cuando tenga un «interés probatorio legítimo». |
|
35 |
Según el órgano jurisdiccional remitente, de los trabajos preparatorios que dieron lugar a la Ley de Procedimiento General Tributario se desprende que los datos personales que constan en el registro de personal tienen por objeto permitir a los agentes de la Administración tributaria sueca proceder al cotejo de datos durante las inspecciones in situ. El objetivo fundamental es prevenir el trabajo no declarado y mejorar las condiciones de competencia. El tratamiento de datos personales se justifica por la necesidad de cumplir la obligación legal a la que está sujeto el responsable del tratamiento, a saber, la llevanza de un registro de personal. |
|
36 |
Por consiguiente, procede considerar que el tratamiento de esos datos en el marco de un procedimiento judicial, como el controvertido en el litigio principal, constituye un tratamiento efectuado con una finalidad distinta de aquella para la que se recogieron los datos, a saber, con fines de inspección fiscal, y que no se basa en el consentimiento de los interesados, en el sentido del artículo 6, apartado 1, letra a), del RGPD. |
|
37 |
En estas circunstancias, el tratamiento de datos personales para un fin distinto de aquel para el que fueron recogidos esos datos no solo debe basarse en el Derecho nacional, como las disposiciones del capítulo 38 del RB, sino también constituir una medida necesaria y proporcionada en una sociedad democrática, en el sentido del artículo 6, apartado 4, del RGPD, y garantizar uno de los objetivos mencionados en el artículo 23, apartado 1, del RGPD. |
|
38 |
Entre estos objetivos figura, conforme a la letra f) del apartado 1 del artículo 23 del referido Reglamento, «la protección de la independencia judicial y de los procedimientos judiciales», objetivo que, como señaló la Comisión Europea en sus observaciones escritas, debe entenderse en el sentido de que tiene por objeto la protección de la administración de justicia contra injerencias internas o externas, pero también la buena administración de justicia. Por otra parte, según la letra j) del apartado 1 de dicho artículo, la ejecución de demandas civiles constituye también un objetivo que puede justificar un tratamiento de datos personales para un fin distinto de aquel para el que fueron recogidos. Por lo tanto, no se excluye que el tratamiento de datos personales de terceros en el marco de un procedimiento judicial civil pueda basarse en tales objetivos. |
|
39 |
No obstante, corresponde al órgano jurisdiccional remitente comprobar si las disposiciones pertinentes del capítulo 38 del RB, por un lado, responden a uno u otro de estos objetivos y, por otro, son necesarias y proporcionadas a tales objetivos, por lo que pueden estar comprendidas en los casos de tratamiento de datos personales considerados lícitos en virtud de lo dispuesto en el artículo 6, apartados 3 y 4, del RGPD, en relación con el artículo 23, apartado 1, letras f) y j), de este. |
|
40 |
A este respecto, es indiferente que el tratamiento de datos personales se base en una disposición de Derecho nacional material o procesal, ya que las disposiciones del artículo 6, apartados 3, letra b), y 4, de dicho Reglamento no establecen distinción alguna entre estos dos tipos de disposiciones. |
|
41 |
Habida cuenta de todas las consideraciones anteriores, procede responder a la primera cuestión prejudicial que el artículo 6, apartados 3 y 4, del RGPD debe interpretarse en el sentido de que esta disposición se aplica, en el marco de un procedimiento judicial civil, a la presentación como prueba de un registro de personal que contenga datos personales de terceros recogidos principalmente con fines de inspección fiscal. |
Segunda cuestión prejudicial
|
42 |
Mediante su segunda cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si los artículos 5 y 6 del RGPD deben interpretarse en el sentido de que, al apreciar si debe ordenarse la presentación de un documento que contenga datos personales en el marco de un procedimiento judicial civil, el órgano jurisdiccional nacional está obligado a tener en cuenta los intereses de los afectados. En caso de respuesta afirmativa, dicho órgano jurisdiccional pregunta, además, si el Derecho de la Unión, y en particular el RGPD, exige incorporar requisitos particulares en relación con las modalidades de esa apreciación. |
|
43 |
En primer lugar, procede señalar que todo tratamiento de datos personales debe, sin perjuicio de las excepciones admitidas al amparo del artículo 23 del RGPD, respetar los principios que regulan el tratamiento de los datos de carácter personal, así como los derechos de la persona afectada previstos, respectivamente, en los capítulos II y III de dicho Reglamento. En particular, todo tratamiento de datos de carácter personal debe, por una parte, ser conforme con los principios establecidos en el artículo 5 de dicho Reglamento y, por otra parte, cumplir las condiciones de licitud enumeradas en el artículo 6 del mismo Reglamento (véase, en este sentido, la sentencia de 6 de octubre de 2020, La Quadrature du Net y otros, C‑511/18, C‑512/18 y C‑520/18, EU:C:2020:791, apartado 208 y jurisprudencia citada). |
|
44 |
En el caso de autos, el órgano jurisdiccional remitente señala que las disposiciones pertinentes del capítulo 38 del RB no requieren expresamente que, al apreciar si debe ordenarse la presentación de un documento que contenga datos personales, se tengan en cuenta los intereses de las personas de cuyos datos personales se trate. Añade que, con arreglo a la jurisprudencia nacional, estas disposiciones exigen únicamente una ponderación de la pertinencia de la prueba y del interés de la parte contraria en no divulgar la información en cuestión. |
|
45 |
Como se ha señalado en el apartado 39 de la presente sentencia, dado que estas disposiciones de Derecho nacional tienen por objeto la presentación de un documento como prueba, pueden estar comprendidas en los casos de tratamiento de datos personales considerados lícitos en virtud de lo dispuesto en el artículo 6, apartados 3 y 4, del RGPD, en relación con el artículo 23, apartado 1, letras f) y j), de este. Así es por cuanto esas disposiciones, por una parte, tienen por objeto garantizar el buen desarrollo del procedimiento jurisdiccional asegurando que el justiciable pueda hacer valer sus derechos cuando exista un «interés probatorio legítimo» y, por otra parte, son necesarias y proporcionadas a dicho objetivo. |
|
46 |
En efecto, del artículo 6, apartado 4, del RGPD se desprende que tales tratamientos de datos personales son lícitos siempre que constituyan medidas necesarias y proporcionadas en una sociedad democrática para salvaguardar los objetivos indicados en el artículo 23 del RGPD que persiguen. De ello se deduce que, para comprobar estos requisitos, un órgano jurisdiccional nacional está obligado a tener en cuenta los intereses contrapuestos existentes cuando aprecia la conveniencia de ordenar la presentación de un documento que contenga datos personales de terceros. |
|
47 |
A este respecto, es preciso subrayar que el resultado de la ponderación que debe realizar el órgano jurisdiccional nacional puede variar tanto en función de las circunstancias de cada caso como del tipo de procedimiento de que se trate. |
|
48 |
Por lo que respecta a los intereses en juego en el marco de un procedimiento judicial civil, tal como se desprende, en particular, de los considerandos 1 y 2 del RGPD, el órgano jurisdiccional nacional debe garantizar la protección de las personas físicas en lo que respecta al tratamiento de datos personales, que es un derecho fundamental consagrado en el artículo 8, apartado 1, de la Carta y en el artículo 16 TFUE. Dicho órgano jurisdiccional también debe garantizar el derecho al respeto de la vida privada, consagrado en el artículo 7 de la Carta, que está estrechamente vinculado al derecho a la protección de los datos personales. |
|
49 |
No obstante, como enuncia el considerando 4 del RGPD, el derecho a la protección de los datos personales no es un derecho absoluto, sino que debe tomarse en consideración en relación con su función en la sociedad y ponderarse, de conformidad con el principio de proporcionalidad, con otros derechos fundamentales, como el derecho a la tutela judicial efectiva, garantizado en el artículo 47 de la Carta. |
|
50 |
Pues bien, la presentación de un documento que contenga datos personales de terceros en el marco de un procedimiento judicial civil contribuye, como ha señalado, en esencia, la Abogada General en el punto 61 de sus conclusiones, al respeto de ese derecho a la tutela judicial efectiva. |
|
51 |
A este respecto, dado que el artículo 47, párrafo segundo, de la Carta se corresponde con el artículo 6, apartado 1, del Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales, hecho en Roma el 4 de noviembre de 1950, su sentido y alcance son, en virtud del artículo 52, apartado 3, de la Carta, los mismos que confiere dicho Convenio al referido artículo 6, apartado 1. |
|
52 |
Según reiterada jurisprudencia del Tribunal Europeo de Derechos Humanos, habida cuenta del lugar destacado que ocupa el derecho a un juicio justo en una sociedad democrática, es esencial que el justiciable tenga la posibilidad de defender eficazmente su causa ante un tribunal y que disfrute de igualdad de armas con la parte contraria [véase, en este sentido, TEDH, sentencia de 24 de junio de 2022, Zayidov c. Azerbaiyán (n.o 2), CE:ECHR:2022:0324JUD000538610, § 87 y jurisprudencia citada]. De ello resulta, en particular, que el justiciable debe poder disfrutar de un procedimiento contradictorio y presentar, en las diferentes fases de este, los argumentos que estime pertinentes para la defensa de su causa (TEDH, sentencia de 21 de enero de 1999, García Ruiz c. España, CE:ECHR:1999:0121JUD003054496, § 29). |
|
53 |
Por consiguiente, para garantizar que los justiciables puedan disfrutar del derecho a la tutela judicial efectiva y, en particular, del derecho a un proceso equitativo, en el sentido del artículo 47, párrafo segundo, de la Carta, procede considerar que, para acreditar suficientemente el carácter fundado de sus alegaciones, las partes en un procedimiento judicial civil deben poder acceder a las pruebas necesarias, que pueden incluir eventualmente datos personales de las partes o de terceros. |
|
54 |
Dicho esto, como se ha indicado en el apartado 46 de la presente sentencia, la toma en consideración de los intereses en juego se inscribe en el marco del examen de la necesidad y de la proporcionalidad de la medida, previstas en el artículo 6, apartados 3 y 4, del RGPD y que condicionan la licitud del tratamiento de datos personales. A este respecto, por lo tanto, debe tenerse en cuenta también su artículo 5, apartado 1, y, en particular, el principio de «minimización de datos» que figura en la letra c) de la referida disposición y refleja el principio de proporcionalidad. Según el principio de minimización de datos, los datos personales serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados [véase, en este sentido, la sentencia de 22 de junio de 2021, Latvijas Republikas Saeima (Puntos por infracciones de tráfico), C‑439/19, EU:C:2021:504, apartado 98 y jurisprudencia citada]. |
|
55 |
Por lo tanto, el órgano jurisdiccional nacional debe determinar si la divulgación de los datos personales es adecuada y pertinente para garantizar el objetivo perseguido por las disposiciones aplicables del Derecho nacional y si este objetivo no puede alcanzarse recurriendo a medios de prueba menos intrusivos en relación con la protección de datos personales de un número elevado de terceros, como, por ejemplo, el examen de testigos seleccionados. |
|
56 |
En el supuesto de que la presentación del documento que contenga datos personales resulte justificada, de dicho principio se desprende además que, cuando solo una parte de esos datos resulte necesaria para fines probatorios, el órgano jurisdiccional nacional debe contemplar la adopción de medidas adicionales en materia de protección de datos, como la seudonimización, definida en el artículo 4, punto 5, del RGPD, de los nombres de los interesados o cualquier otra medida destinada a minimizar el obstáculo al derecho a la protección de los datos personales que constituye la presentación de tal documento. Esas medidas pueden incluir, en particular, la limitación del acceso del público a los autos o una orden conminatoria dirigida a las partes a las que se hayan comunicado los documentos que contienen datos personales de no utilizar esos datos con una finalidad distinta de la práctica de la prueba en el procedimiento judicial de que se trate. |
|
57 |
A este respecto, debe precisarse que del artículo 4, punto 5, del RGPD, en relación con el considerando 26 de dicho Reglamento, se desprende que los datos personales que han sido objeto de una seudonimización y que cabría atribuir a una persona física mediante la utilización de información adicional deben considerarse información sobre una persona física identificable, a la que se aplican los principios de la protección de datos. En cambio, del referido considerando se desprende que estos principios no se aplican «a la información anónima, es decir, información que no guarda relación con una persona física identificada o identificable, ni a los datos convertidos en anónimos de forma que el interesado no sea identificable, o deje de serlo». |
|
58 |
De lo antedicho se deduce que un órgano jurisdiccional nacional puede considerar que se le deben comunicar datos personales de las partes o de terceros para poder ponderar los intereses en juego con pleno conocimiento de causa y respetando el principio de proporcionalidad. Esta apreciación puede llevarle, en su caso, a autorizar la divulgación total o parcial a la parte contraria de los datos personales que le hayan sido comunicados, si considera que tal divulgación no va más allá de lo necesario para garantizar el disfrute efectivo de los derechos que el artículo 47 de la Carta confiere a los justiciables. |
|
59 |
Habida cuenta de todas las consideraciones anteriores, procede responder a la segunda cuestión prejudicial que los artículos 5 y 6 del RGPD deben interpretarse en el sentido de que, al apreciar si debe ordenarse la presentación de un documento que contenga datos personales, el órgano jurisdiccional nacional está obligado a tener en cuenta los intereses de los afectados y a ponderarlos en función de las circunstancias de cada caso, del tipo de procedimiento de que se trate y teniendo debidamente en cuenta las exigencias derivadas del principio de proporcionalidad y, en particular, las derivadas del principio de minimización de datos a que se refiere el artículo 5, apartado 1, letra c), de dicho Reglamento. |
Costas
|
60 |
Dado que el procedimiento tiene, para las partes del litigio principal, el carácter de un incidente promovido ante el órgano jurisdiccional remitente, corresponde a este resolver sobre las costas. Los gastos efectuados por quienes, no siendo partes en el litigio principal, han presentado observaciones ante el Tribunal de Justicia no pueden ser objeto de reembolso. |
|
En virtud de todo lo expuesto, el Tribunal de Justicia (Sala Tercera) declara: |
|
|
|
Firmas |
( *1 ) Lengua de procedimiento: sueco.